Выступая на конференции Bsides Canberra, эксперты в сфере информационной безопасности Шубхам Шах и Натаниель Вейклам заявили, что готовы обнародовать две полезные утилиты, не раз помогавшие им зарабатывать деньги через программы выплаты вознаграждений за поиск уязвимостей.
По словам исследователей, их инструменты AltDNS и Assetnote являются уникальными и полезными для пентестеров и разработчиков, хотя они изначально разрабатывались именно для тех, кто ищет уязвимость, чтобы получить взамен денежное вознаграждение. Задачей данных инструментов является автоматическая идентификация поддоменов и хостов. При этом утилиты генерируют уведомления для смартфонов, чтобы сообщать оператору об обнаружении потенциально уязвимого домена.
Шах и Вейклам считают, что инструменты дают возможность существенно расширять покрытие атаки, а также оказывают помощь по быстрому поиску багов и оперативной передаче информации о них.
Эксперты уже опубликовали демо-версию AltDNS, которая распознает свыше 900 поддоменов и 230 слов, которые чаще всего используются в DNS-записях. Имея в своем распоряжении эту информацию, инструмент способен перебирать около 5,3 миллиона вариантов. Как утверждает Шах, таким образом обычный масштаб атаки возрастает вдвое.
Вскоре на GitHub будет размещен и утилита Assetnote, позволяющая исследователю самостоятельно выбрать и добавить домены, за которыми в автоматическом режиме будет осуществляется мониторинг. Инструмент незамедлительно сообщит о появлении новых поддоменов.
По словам авторов утилит, поиск уязвимостей необязательно должен быть сложным процессом, некоторые вещи являются очень простыми, необходимо лишь потратить на них некоторое время.